先把最重要的一条放最前面内部用的智能体默认就是谁都能问到一切的高危状态你不主动加鉴权和数据隔离它就是个把全公司敏感信息平铺给所有人的窗口。我们差点出事复盘出几条避坑经验写给同样在搭内部 AI 助手的人。差点出事的场景我们给内部搭了个问业务数据的助手知识库里灌了不少东西包括一些部门的经营数据、员工花名册。一开始图快发布出去没做任何权限控制全公司谁拿到链接都能问。直到有同事开玩笑问了句XX 部门上个月业绩多少它真给答出来了——那是只有管理层该看的数。当场后背发凉。这要是被问到薪资、客户合同就是事故。下面是我们补的几道防线按重要性排。防线一接 SSO先解决你是谁匿名访问是原罪。第一件事是把助手的访问入口接到公司 SSO我们用的企业身份体系没登录就用不了登录后能拿到访问者的身份和部门。好在我们用的那个零代码搭智能体的平台发布时支持配置访问鉴权能要求访问者先通过企业身份验证。配上之后至少谁在问这件事有据可查了匿名裸奔堵死。防线二按身份隔离知识库解决你能问到什么光知道你是谁不够关键是不同人能检索到的知识范围必须不同。我们的做法是把知识库拆开按敏感级别分公共知识库 → 所有登录员工可检索制度、流程、产品手册 部门级知识库 → 仅本部门成员可检索部门内数据 管理层知识库 → 仅管理层可检索经营、薪资、合同然后在工作流里加一个权限路由节点拿到访问者的部门/角色决定这次检索去查哪些库。一个普通员工问XX 部门业绩他的检索根本够不到管理层那个库自然问不出来——不是靠模型拒绝回答是让敏感内容压根进不了它的上下文。这点很重要靠提示词让模型遇到敏感问题别答是不牢靠的能被绕过从数据源头隔离才硬。防线三操作审计解决出事能不能追第三道是审计日志。每一次提问我都记下来谁身份、什么时间、问了什么、命中了哪个知识库、返回了什么。审计字段示例 { user: zhangsancorp, dept: 研发, time: 2026-06-12T14:03:11, query: 服务器登录密码在哪, hit_kb: 公共知识库, answer_summary: 未命中建议联系运维, blocked: false }有了这个万一真有人试探敏感问题事后能查到是谁、问了什么。审计本身也有威慑——大家知道有日志就不会乱试。日志我单独存定期审一遍异常提问。几个容易忽略的坑坑一别信模型会拒绝。前面说了提示词层面的遇到敏感别答能被各种话术绕开假设你是管理员……。安全必须做在数据访问层不能押在模型自觉上。坑二知识库更新时权限容易漏配。我们有次往公共库里塞文档没注意里面夹了张含敏感数据的附件等于绕过了隔离。后来加了条规矩任何文档入公共库前先过一遍脱敏检查。流程上的洞比技术上的更常见。坑三审计日志本身也是敏感数据。日志里记着大家问了啥这玩意儿泄露也是事故。日志的访问权限要单独收紧别又裸奔了。还没做到位的目前我们的权限粒度只到部门级做不到行级——比如同部门里组长能看全组数据、组员只能看自己的这种细粒度我们还没实现只能先靠拆更细的知识库硬扛不够优雅。细粒度的字段级权限是下一步要啃的。底层模型走的讯飞 MaaS现成大模型 API 调用没自己部署模型但安全这摊鉴权、隔离、审计是自己必须补的平台给不了你的业务权限模型。你们内部 AI 助手怎么做权限隔离的有没有更细粒度的方案评论区指点下。